Wprowadzenie do 3DS
Czym jest 3DS 2?
3DS 2 to ulepszona wersja oryginalnego uwierzytelniania Three Domain Secure (3-D Secure lub 3DS) wdrożonego przez wydawców kart i agentów rozliczeniowych w ramach określonych systemów kart, takich jak MasterCard (MasterCard SecureCode) i Visa (Verified by Visa).
W pierwotnym standardzie 3DS użytkownik był przekierowywany na stronę wydawcy karty. Tam musiał zaakceptować transakcję, podając jednorazowe hasło z SMS (tzw. one-time password - OTP) lub potwierdzając płatność w aplikacji mobilnej swojego banku.
W najprostszym ujęciu, 3DS 2 (lub EMV 3-D Secure, nazwany na rzecz organizacji, która zarządza nowym standardem) ulepsza oryginalny standard, umożliwiając sprzedającemu i dostawcy usług płatniczych przesyłanie większej ilości danych w celu lepszego uwierzytelnienia. Sprawia też, że proces uwierzytelnienia jest bardziej przyjazny dla urządzeń mobilnych, a nawet całkowicie frictionless (bez przekierowań, bez OTP) w niektórych przypadkach.
Zmiana ta znajduje również odzwierciedlenie w zmianie nazwy usług oferowanych przez Visa i MasterCard, odpowiednio na Visa Secure i MasterCard Identity Check.
Czym jest PSD 2 / SCA?
Zmieniona dyrektywa w sprawie usług płatniczych (PSD 2) to akt prawny, który wszedł w życie w Unii Europejskiej 14 września 2019 roku. Dyrektywa ta wprowadza między innymi wymóg silnego uwierzytelniania klienta (SCA) dla płatności online.
Przeprowadzenie SCA jest wymagane od dostawców usług płatniczych w konkretnych przypadkach. Prawidłowa procedura silnego uwierzytelnienia wymaga potwierdzenia tożsamości klienta na dwa z trzech dostępnych sposobów:
- wiedzą klienta (np. podanie hasła),
- cechą klienta (np. odcisk palca),
- własnością klienta (np. smartfon).
Wprowadzenie PSD2 oznacza, że wszystkie płatności kartami będą wymagały 3DS 2.
Oznaczałoby to całkowity zakaz przetwarzania transakcji one-click, a transakcje cykliczne (płatności okresowe, wykonywane przez merchanta za naszym pozwoleniem, ale bez naszego udziału) w ogóle nie będą możliwe.
Na szczęście przewidziano odstępstwa.
Odstępstwa
Transakcje cykliczne i zainicjowane przez merchanta (MIT)
Tylko pierwsza transakcja, rozpoczynająca subskrypcję lub cykl opłat, wymaga SCA. Kolejne opłaty są zwolnione z wymogu silnego uwierzytelnienia.
Transakcja jest uznawana za cykliczną, jeśli wartość kazdej opłaty w cyklu jest stała.
W przypadku, gdy kwota zmienia się w czasie (np. w przypadku niektórych rachunków za media opartych na zużyciu, takich jak energia elektryczna, usługi telekomunikacyjne itp.), taka transakcja jest uznawana za zainicjowaną przez merchanta (MIT - Merchant Initiated Transaction) i również jest zwolniona z wymogu silnego uwierzytelnienia.
Oczywiście w obu przypadkach sprzedawca musi uzyskać zgodę posiadacza karty.
Transakcje niskokwotowe i niskiego ryzyka
Transakcje płatnicze poniżej 30 EUR lub o równowartości tej kwoty w lokalnej walucie są zwolnione z wymogu SCA. Jeśli jednak łączna kwota prób użycia karty bez silnego uwierzytelnienia w ciągu 24 godzin przekroczy 100 EUR lub wykonanych zostanie 5 transakcji bez silnego uwierzytelnienia, SCA będzie wymagane (śledzenie prób i wymaganie uwierzytelnienia zależy od banku wydającego kartę).
Z przymusu silnego uwierzytelnienia wyłączone są również transakcje o niskim ryzyku. Ryzyko jest ustalane dla wydawcy karty i agenta rozliczeniowego, na podstawie średniego poziomu oszustw. Agent rozliczeniowy, wysyłając prośbę o autoryzację, może oznaczyć transakcję jako mało ryzykowną, jednak to po stronie wydawcy karty leży zaakceptowanie tej decyzji. W przypadku wątpliwości, żądanie może zostać odrzucone, a dalszy proces będzie wymagać silnego uwierzytelnienia.
Odmowa autoryzacji bez silnego uwierzytelnienia (tzw."soft decline")
Zaakceptowanie odstępstwa ze względu na niską kwotę lub niewielkie ryzyko jest zawsze decyzją wydawcy karty.
Jeżeli wydawca karty uzna, że silne uwierzytelnienie jest wymagane, odmówi autoryzacji odpowiadając konkretnym kodem błędu.
Próbę autoryzacji możesz ponowić, uzupełniając komunikat o wynik uwierzytelnienia za pomocą 3DS. Więcej szczegółów znajdziesz się w sekcji Obsługa przypadków soft decline.